Questa pagina fornisce una panoramica della dashboard della postura di sicurezza nella console Google Cloud, che offre suggerimenti attendibili e strategici per migliorare la postura di sicurezza. Per esplorare la dashboard di persona, vai alla Pagina Security posture nella console Google Cloud.
Quando utilizzare la dashboard della security posture
Dovresti usare la dashboard della security posture se rappresenti un cluster o un amministratore della sicurezza che voglia automatizzare il rilevamento segnalazione di problemi di sicurezza comuni in più cluster e carichi di lavoro. con intrusioni e interruzioni minime nelle applicazioni in esecuzione. La la dashboard della security posture si integra con prodotti quali Cloud Logging, Policy Controller e Autorizzazione binaria per migliorare la tua visibilità sui strategia di sicurezza.
Se utilizzi Controlli di servizio VPC, puoi anche
aggiornare i perimetri
per proteggere la dashboard della posizione di sicurezza aggiungendo
containersecurity.googleapis.com all'elenco dei servizi.
La dashboard della security posture non modifica nessuna delle nostre responsabilità né modifiche responsabilità nell'ambito modello di responsabilità condivisa. Sei comunque responsabile della protezione dei tuoi carichi di lavoro.
Utilizzo nell'ambito di un'ampia strategia di sicurezza
La dashboard della security posture fornisce insight sul carico di lavoro postura di sicurezza nella fase di runtime del ciclo di vita della distribuzione del software. Per ottenere una copertura completa delle tue applicazioni durante tutto il ciclo di vita, dal controllo del codice sorgente alla manutenzione, ti consigliamo di utilizzare la dashboard con altri strumenti di sicurezza.
GKE offre i seguenti strumenti per monitorare la sicurezza e la conformità nella console Google Cloud:
- La dashboard della security posture, disponibile in GKE il livello Standard e il livello GKE Enterprise.
- La dashboard di conformità di GKE, disponibile in GKE Enterprise livello. Per maggiori dettagli, vedi Informazioni sulla dashboard di conformità GKE.
Per ulteriori dettagli sugli altri strumenti disponibili e sulle best practice per proteggere le tue applicazioni da un'estremità all'altra, consulta Proteggere la catena di approvvigionamento del software.
Inoltre, ti consigliamo vivamente di implementare il maggior numero possibile di consigli il più possibile con Rafforza la sicurezza del cluster.
Come funziona la dashboard della security posture
Per utilizzare la dashboard sulla postura di sicurezza, abilita l'API Container Security nel tuo progetto. La dashboard mostra approfondimenti sulle funzionalità integrate in GKE e su alcuni prodotti di sicurezza Google Cloud in esecuzione nel tuo progetto.
Abilitazione di funzionalità specifiche per il cluster
Le funzionalità specifiche di GKE nella dashboard della postura di sicurezza sono classificate come segue:
- Security posture di Kubernetes: la strategia di sicurezza degli oggetti e delle risorse Kubernetes nel cluster, ad esempio le specifiche dei pod. Per maggiori dettagli, consulta Informazioni sull'analisi della postura di sicurezza di Kubernetes.
- Scansione delle vulnerabilità del carico di lavoro: la security posture del sistema operativo del container e dei pacchetti di linguaggio delle applicazioni. Per maggiori dettagli, vedi Informazioni sull'analisi delle vulnerabilità dei carichi di lavoro.
Se utilizzi GKE Enterprise alcune di queste funzionalità sono abilitate per impostazione predefinita nei nuovi cluster. Le seguenti che descrive le funzionalità specifiche del cluster:
| Nome caratteristica | Disponibilità | Funzionalità incluse |
|---|---|---|
| Strategia di sicurezza per Kubernetes - livello Standard |
Richiede GKE 1.27 o versioni successive.
|
|
| Strategia di sicurezza Kubernetes - Livello avanzato (anteprima) | Non abilitato automaticamente in nessuna versione o modalità di funzionamento. Richiede la versione GKE Enterprise. | |
| Analisi delle vulnerabilità dei carichi di lavoro - livello standard |
|
|
| Analisi delle vulnerabilità dei carichi di lavoro - Advanced Vulnerability Insights |
|
Puoi attivare queste funzionalità per i cluster GKE autonomi o per i cluster membri del parco risorse. La dashboard della security posture ti consente di osservare tutti i tuoi cluster contemporaneamente, inclusi tutti i membri del parco risorse nel progetto host del parco risorse.
Funzionalità in più prodotti
La dashboard della security posture può mostrare insight da altri Le offerte per la sicurezza di Google Cloud in esecuzione nel tuo progetto. Questo offre una panoramica dello stato di sicurezza di un singolo parco risorse o dei cluster di un progetto specifico.
| Nome | Descrizione | Come attivarlo |
|---|---|---|
| Problemi della catena di fornitura - Autorizzazione binaria (anteprima) | Controlla i seguenti problemi con l'esecuzione delle immagini container:
Se utilizzi immagini nei repository Artifact Registry che appartengono a un progetto diverso, consenti a Binary Authorization di leggerle nel progetto dell'elemento concedendo all'agente di servizio il ruolo IAM pertinente. Per istruzioni, vedi Concedi i ruoli utilizzando gcloud CLI. |
Abilita l'API Binary Authorization nel tuo progetto. Per le istruzioni, consulta Attivare il servizio di autorizzazione binaria. |
Integrazione con Security Command Center
Se utilizzi il livello Standard o Premium di Security Command Center nella tua organizzazione o nel tuo progetto, vedrai i risultati della dashboard della posizione di sicurezza in Security Command Center. Per ulteriori dettagli sui tipi di risultati di Security Command Center visualizzati, consulta Origini di sicurezza.
Vantaggi della dashboard della security posture
La dashboard della security posture è una misura di sicurezza di base che puoi abilitare per qualsiasi cluster GKE idoneo. Google Cloud consiglia di utilizzare la dashboard della security posture per tutti i cluster per i seguenti motivi:
- Interruzioni minime: le funzionalità non interrompono o interferiscono con la corsa carichi di lavoro con scale out impegnativi.
- Consigli pratici: se disponibile, la dashboard della security posture indica azioni per risolvere i problemi rilevati. Queste azioni includono i comandi che puoi eseguire, esempi di modifiche alla configurazione da apportare e consigli su cosa fare per mitigare le vulnerabilità.
- Visualizzazione: la dashboard della security posture fornisce una una visualizzazione di alto livello dei problemi che interessano i cluster del tuo progetto, e include tabelle e grafici per mostrare i progressi compiuti e il potenziale impatto di ogni problema.
- Risultati opinati: GKE assegna una la gravità ai problemi rilevati in base alla la competenza dei nostri team di sicurezza e gli standard di settore.
- Log degli eventi verificabili: GKE aggiunge tutti i problemi rilevati ai Logging per migliorare la segnalabilità e l'osservabilità.
- Osservabilità del parco risorse: se hai registrato cluster GKE in un parco, la dashboard ti consente osservi tutti i cluster del progetto, inclusi i cluster membro del parco risorse e a qualsiasi cluster GKE autonomo nel progetto.
Prezzi della dashboard della postura di sicurezza di GKE
I prezzi delle funzionalità della dashboard della postura di sicurezza sono riportati di seguito e si applicano ai cluster GKE autonomi e ai cluster GKE di parchi risorse:
| Prezzi della dashboard della strategia di sicurezza di GKE | |
|---|---|
| Controllo della configurazione del carico di lavoro | Senza costi aggiuntivi |
| Visualizzazione del bollettino sulla sicurezza | Senza costi aggiuntivi |
| Rilevamento delle minacce GKE (anteprima) | Incluso nel costo di GKE Enterprise. Per maggiori dettagli, nella pagina dei prezzi di GKE, consulta Versione Enterprise. |
| Analisi delle vulnerabilità del sistema operativo dei container | Senza costi aggiuntivi |
| Advanced Vulnerability Insights | Utilizza i prezzi di Artifact Analysis. Per maggiori dettagli, nella pagina dei prezzi di Artifact Analysis, consulta Approfondimenti avanzati sulle vulnerabilità. |
| Catena di fornitura - Autorizzazione binaria (anteprima) | Nessun costo aggiuntivo per i problemi della dashboard relativi alla security posture. Tuttavia, l'utilizzo di altre funzionalità dell'autorizzazione binaria, come l'applicazione, è separato dalla funzionalità della dashboard ed è soggetto ai prezzi dell'autorizzazione binaria per GKE. |
Le voci aggiunte a Cloud Logging utilizzano i prezzi di Cloud Logging. Tuttavia, a seconda della scala del tuo ambiente e del numero di problemi potresti non superare le allocazioni per l'importazione gratuita e lo spazio di archiviazione Logging. Per i dettagli, consulta Prezzi di Logging.
Gestisci la security posture del parco risorse
Se utilizzi i parchi risorse con La versione Google Kubernetes Engine (GKE) Enterprise può configurare la strategia di sicurezza di GKE a livello di parco risorse utilizzando gcloud CLI. GKE cluster che registri come membri del parco risorse durante la creazione automatica del cluster la configurazione della security posture. Cluster che erano già un parco risorse prima della modifica della configurazione della security posture non ereditano una nuova configurazione. Questa configurazione ereditata sostituisce le impostazioni predefinite che GKE applica ai nuovi cluster.
L'abilitazione di GKE Enterprise mostra i risultati del controllo di conformità in la dashboard della security posture. Il controllo di conformità confronta i cluster e carichi di lavoro con best practice del settore come gli standard di sicurezza dei pod. Per maggiori informazioni, consulta i bundle di Policy Controller.
Per scoprire come modificare la configurazione della strategia di sicurezza a livello di parco risorse, consulta Configurare le funzionalità della dashboard della strategia di sicurezza di GKE a livello di parco risorse.
Informazioni sulla pagina Security posture
La pagina Postura di sicurezza nella console Google Cloud contiene le seguenti schede:
- Dashboard: una rappresentazione di alto livello dei risultati delle scansioni. Sono inclusi grafici e informazioni specifiche sulle funzionalità.
- Dubbi: una visualizzazione dettagliata e filtrabile di tutti i dubbi rilevati da con GKE nei tuoi cluster e carichi di lavoro. Puoi selezionare singoli dubbi per i dettagli e le opzioni di mitigazione.
- Impostazioni: gestisci la configurazione della funzionalità di security posture per singoli cluster o per parchi risorse.
Dashboard
La scheda Dashboard fornisce una rappresentazione visiva dei risultati varie analisi della postura di sicurezza GKE e informazioni da altri I prodotti per la sicurezza di Google Cloud abilitati nel tuo progetto. Per dettagli sulle funzionalità di scansione disponibili e su altri prodotti di sicurezza supportati, consulta Come funziona la dashboard della postura di sicurezza in questo documento.
Se utilizzi parchi risorse con GKE Enterprise, la dashboard visualizza eventuali problemi rilevati per i cluster, nel parco risorse del progetto e nei cluster autonomi. Per passare a per visualizzare la postura di un parco risorse specifico, seleziona il progetto host per del parco risorse dal menu a discesa del selettore progetti nella console Google Cloud. Se nel progetto selezionato è abilitata l'API Container Security, mostra i risultati per tutti i cluster membri del parco risorse di quel progetto.
Problemi
La scheda Problemi di sicurezza elenca i problemi di sicurezza attivi che GKE durante l'analisi di cluster e carichi di lavoro. Questa pagina mostra solo per le funzionalità della security posture descritte in Abilitazione di funzionalità specifiche per i cluster in questo documento. Se utilizzi i parchi risorse con GKE Enterprise, puoi vedere i problemi relativi cluster membri del parco risorse e per i cluster GKE autonomi che proprietario del progetto selezionato.
Valutazioni della gravità
Ove applicabile, GKE assegna una valutazione della gravità ai problemi rilevati. Puoi utilizzare queste valutazioni per determinare l'urgenza con cui devi risolvere il problema. GKE utilizza i seguenti livelli di gravità, basati sulla scala di valutazione della gravità qualitativa CVSS:
- Critico: intervieni immediatamente. Un attacco comporterà un incidente.
- Alto: agisci prontamente. Molto probabilmente un attacco causerà un incidente.
- Medio: agisci presto. Un attacco probabilmente causerà un incidente.
- Basso: intervieni eventualmente. Un attacco potrebbe causare un incidente.
La velocità esatta di risposta ai dubbi dipende dalle impostazioni della tua organizzazione. il modello di minaccia e la tolleranza al rischio. Le valutazioni della gravità sono linee guida qualitative per aiutarti a sviluppare un piano di risposta agli incidenti completo.
Tabella dei problemi
La tabella Problemi mostra tutti i problemi rilevati da GKE. Puoi modificare la visualizzazione predefinita per raggruppare i risultati in base al tipo di problema, allo spazio dei nomi Kubernetes o ai carichi di lavoro interessati. Puoi utilizza il riquadro dei filtri per filtrare i risultati per valutazione della gravità, tipo di problema Località Google Cloud e nome del cluster. Per visualizzare i dettagli di una specifica fai clic sul nome del problema.
Riquadro dei dettagli del problema
Quando fai clic su un problema nella tabella Problemi, si apre il riquadro dei dettagli del problema. Questo riquadro fornisce una descrizione dettagliata del problema e i relativi
informazioni come le versioni del sistema operativo interessate per le vulnerabilità, i link CVE
e i rischi associati a un problema
di configurazione specifico. Il riquadro dei dettagli fornisce un'azione consigliata, se applicabile. Ad esempio, un carico di lavoro che imposta
runAsNonRoot: false restituirà la modifica consigliata da apportare a
la specifica del pod per attenuare il problema.
La scheda Risorse interessate nel riquadro dei dettagli del problema mostra un elenco nei cluster registrati interessati dal problema.
Impostazioni
La scheda Impostazioni ti consente di configurare funzionalità della strategia di sicurezza specifiche per il cluster, come l'analisi delle vulnerabilità dei carichi di lavoro o il controllo della configurazione dei carichi di lavoro, cluster GKE idonei nel tuo progetto o nel tuo parco risorse. Puoi visualizzare lo stato di attivazione di funzionalità specifiche per ogni cluster e modificare la configurazione per i cluster idonei. Se utilizzi i parchi risorse con GKE Enterprise, puoi anche verificare se i cluster dei membri del parco risorse hanno le stesse impostazioni della configurazione a livello di parco risorse.
Flusso di lavoro di esempio
Questa sezione è un esempio del flusso di lavoro per un amministratore del cluster che vuole analizzare i carichi di lavoro in un cluster per rilevare eventuali problemi di configurazione della sicurezza, ad esempio privilegiati.
- Registra il cluster nella scansione della posizione di sicurezza di Kubernetes utilizzando la console Google Cloud.
- Controlla la dashboard della postura di sicurezza per i risultati della scansione, che potrebbero richiedere fino a 30 minuti.
- Fai clic sulla scheda Problemi per aprire i risultati dettagliati.
- Seleziona il filtro del tipo di problema Configurazione.
- Fai clic su un problema nella tabella.
- Nel riquadro dei dettagli del problema, prendi nota della modifica consigliata per la configurazione e aggiornare la specifica del pod con il suggerimento.
- Applica la specifica del pod aggiornata al cluster.
Alla successiva esecuzione della scansione, la dashboard della security posture non verrà più mostra il problema che hai risolto.
Passaggi successivi
- Scopri di più sul controllo della configurazione del carico di lavoro
- Scopri come attivare la scansione automatica dei carichi di lavoro per individuare problemi di configurazione
- Scopri come attivare la scansione automatica delle immagini container per individuare le vulnerabilità note
- Scopri come attivare GKE Threat Detection (anteprima)